事故から学ぶ

TOP > 事故から学ぶ > 委託元, 委託先両社の確認不足, 確認体制の欠如 > 作業ミスで技能者の個人情報が閲覧可能に – 建設業振興基金

2019/11/04

作業ミスで技能者の個人情報が閲覧可能に – 建設業振興基金

事故概要

業種	建設業振興基金
発生時期	2019/8/9-2019/8/20
漏えい人数	2,149人
事故概要	建設関連技能者の処遇改善を目指して官民で推進する「建設キャリアアップシステム（CCUS）」においてデータ登録に不具合があり、一部建設元請事業者に他社の建設現場に関する技能者情報が流出したことがわかった。「建設キャリアアップシステム」は、技能に対する公正な評価や、工事品質の向上に受けて、建設技術者の就業実績や資格を登録できるシステム。官民が連携して推進しており、建設業振興基金が開発、運営を行っている。同基金によれば、8月9日から20日にかけて一部の元請事業者が自社現場の就業データを閲覧すると、本来表示されない他社の現場で就業した技能者の個人情報が閲覧できる状態となっていた。同月19日に元請事業者からの問い合わせがあり、問題が判明、翌20日にシステムを停止した。「建設キャリアアップシステム」において、就業履歴回数に応じて生じる現場利用料の請求データを補正する作業を8月9日と13日に委託先が行ったが、2149件に誤った元請事業者名を付加するミスがあったという。
引用元	Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
21-19 22-24（第20条）安全管理措置社内規則の整備（第21条）従業者の監督作業ルールの徹底（誤開示防止）（第22条）委託先の監督（自社運用・外部サービス利用）

チェックリストにある要求ルール：

ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。掲載後にも直ちにこれらの情報が掲載されていないかチェックしていますか。
掲載時に適切な掲載であるか、複数の人で確認をしていますか？
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっサーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか？

■ 推奨対策

対策：

根本原因はホームページのコンテンツ修正後の確認を、委託元、委託先ともに、誰もしていないということである。

具体例：

委託先の問題として、作業実施後に情報漏えいが発生していないか、指示通りの作業ができているかの確認を行っていないこと。
委託元の問題として、作業実施後に情報漏えいが発生していないか、指示通りの作業ができているかの確認を行っていないことで、漏えい事案を発生させている。厳しい言い方だが、両社とも仕事への取組み姿勢と体制を根本から作り直す必要がある。今後注意します、というレベルではない。